Menú Cerrar

Protección de datos personales y ccTLD

Por Erick Iriarte Ahon, asesor legal de .PE y cocoordinador del Grupo de Trabajo de Políticas y Legal de LACTLD

Con el objetivo de analizar el estado de la región en materia de regulación de protección de datos personales y la incidencia de estas normativas sobre la operación de los diversos ccTLD miembros de LACTLD, el Grupo de Trabajo de Políticas y Legal de la Asociación realizó una encuesta.

En primer lugar, un hallazgo destacable es que el 75% de la muestra presenta legislación vigente sobre la protección de datos personales y tan solo poco más del 12% indica que no habría ninguna regulación en este sentido (mientras que el porcentaje restante reporta que si bien no existe regulación vigente, el tema es objeto de discusión parlamentaria). A pesar de que en algunos países de América Latina y el Caribe no exista una legislación específica, se debe señalar que la misma Declaración Universal de los Derechos Humanos ya contempla regulaciones en temas de privacidad y la totalidad de las constituciones de la región reflejan dicha posición (además de estar ligadas al Pacto de San José). También, es importante notar que la legislación específica vigente ha aumentado desde 1999 cuando Argentina desarrolló legislación particular de protección de datos personales.

La encuesta revela también que poco más del 50% de los ccTLD reportan la existencia de una Autoridad Gubernamental específica en materia de protección de datos personales. De acuerdo con los resultados obtenidos, la mitad de estas entidades es autónoma mientras que las restantes son dependientes de otra entidad gubernamental. Cabe destacar que en América Latina parte del diseño de dichas autoridades es del tipo híbrido: se ocupan tanto de la protección de datos personales como del acceso a la información pública.

En general, el registro de dominios en los ccTLD puede ser realizado por cualquier usuario. Para ello, se han incorporado en muchos casos medios automáticos que facilitan el proceso de registro, pero que también pueden impedir identificar al usuario registrante. Al respecto, la encuesta demuestra que tan solo el 23.5% de los ccTLD verifican la totalidad de las solicitudes, mientras que el 58.8% lo hace en algunos casos (esto ocurre sobre todo en registros del tipo restringido, por ejemplo, bajo subdominios para entidades gubernamentales).

Por otra parte, la encuesta evidencia que casi el 90% de los ccTLD poseen una política de privacidad. Este tipo de políticas establecen un seguimiento normativo aun cuando no haya una ley explícita, ya que la ausencia de una norma ad hoc no impide el reconocimiento de una buena práctica internacional ligada a la protección de los datos personales. No obstante, solamente un poco más del 50% cuenta con un protocolo de seguridad de datos. Esto se explica, entre otras cosas, por la falta de legislación específica en materia de ciberseguridad en muchos países de la región. Nos encontramos entonces con el reto de generar a modo de buena práctica el seguimiento de estándares mínimos en el resguardo de los datos, tomando en consideración por ejemplo el ISO 27001.

Esta falta de protocolo se encuentra alineada con la ausencia de un oficial encargado de la protección de los datos, que tan solo aparece presente en el 11.8% de los ccTLD encuestados (probablemente con un oficial requerido por normatividad explícita). Se debe reconocer también que el 35.3% de los ccTLD informan que cuentan con un encargado de desempeñar esta función aunque dicho cargo no se encuentre definido formalmente en su organización.

Los servicios de privacidad WHOIS, que en los últimos años han ido ganando espacio en el ámbito de los dominios, fueron examinados en la encuesta realizada. Las respuestas recibidas revelaron que el 58.8% de los ccTLD de la región ofrece este tipo de servicios. Si bien el 41.2% de los ccTLD consultados no cuentan con servicios de privacidad WHOIS, los registrantes pueden, en muchos casos, acceder a ellos de forma indirecta a través de registradores internacionales.

La encuesta desarrollada por el Grupo de Trabajo de Políticas y Legal proporcionó una serie de resultados relevantes acerca de los datos solicitados por los ccTLD durante el proceso de registro. Se pudo observar que la mayoría de los ccTLD recolecta mayor información sobre el registrante y sobre el contacto administrativo en comparación con el contacto técnico. Un hallazgo llamativo es que los datos relacionados con los documentos de identidad se encuentran entre los menos solicitados junto con el fax. Con respecto al almacenamiento de los datos solicitados, los resultados demostraron que el 35.6% de los ccTLD no retienen estos datos luego de que el dominio ha sido eliminado o dado de baja, mientras que el porcentaje restante preserva la información durante un plazo variable.

Si bien muchos de los datos requeridos en el proceso de registro no son publicados en el WHOIS, estos datos pueden ser solicitados por autoridades públicas a través de órdenes judiciales o por entidad administrativa en materia de propiedad intelectual.

Finalmente, la encuesta arrojó algunas conclusiones acerca del impacto del Reglamento General de Protección de Datos europeo (GDPR) en las políticas de los ccTLD de América Latina y el Caribe. De acuerdo con las respuestas obtenidas, el 58.8% ha introducido o piensa realizar modificaciones relacionadas con el GDPR −sobre todo, para aquellos titulares de nombres de dominio bajo la jurisdicción europea− mientras que el 41.2% de los ccTLD aún no ha adoptado ninguna modificación.

– La nota original fue publicada en el Reporte LACTLD N°12